Czwartek , 28 Marzec 2024

Jak hakerzy atakują nasz komputer? Oto ich najważniejsza metoda

   05.01.2024
Cyberprzestępcy, by włamać się na nasze konta internetowe bądź komputery potrzebują przede wszystkim dostępu do ochraniających te miejsca haseł. Mogą je zdobyć na kilka sposobów: albo wyłudzając je, używając podstępu, szantażu itp., albo stosując ataki typu brute force, które są jednymi z najbardziej prymitywnych, ale jednocześnie najczęściej wykorzystywanych. W tym tekście wyjaśnimy, co to jest i jakie są sposoby ochrony przed tym.
Ataki typu brute force - jeden z najstarszych i jednocześnie ciągle skutecznych sposobów łamania haseł. Fot. Unsplash

Liczba cyberprzestÄ™pstw, na które narażeni sÄ… internauci, roÅ›nie coraz szybciej. Hakerzy próbujÄ… wyÅ‚udzić dane (hasÅ‚a, informacje osobowe, dane osobiste, pliki z ważnymi dokumentami), których pozyskanie może w konsekwencji pozwolić na okradzenie niczego nieÅ›wiadomych użytkowników sieci.

Brute force – co to jest?

JednÄ… z najstarszych, lecz ciÄ…gle bardzo popularnych metod Å‚amania haseÅ‚ dostÄ™pu jest tzw. brute force (z angielskiego „brutalna siÅ‚a”). Nazwa dobrze oddaje to, na czym ów przestÄ™pczy proceder polega. Hakerzy z wykorzystaniem zaawansowanego sprzÄ™tu komputerowego (procesorów), bazy sÅ‚owników, wyrazów lub fraz Å‚amiÄ… hasÅ‚a i klucze kryptograficzne. Odbywa siÄ™ w to w ten sposób, iż haker, próbujÄ…c wÅ‚amać siÄ™ na konto swojej ofiary, używa systemu oraz odpowiednio przygotowanego oprogramowania, które dosÅ‚ownie próbuje na Å›lepo „odgadnąć” hasÅ‚o. WyglÄ…da to w ten sposób, że system ten wprowadza do formularza kolejne sÅ‚owa, zwroty, kombinacje, liczb, liter itp., tak dÅ‚ugo, aż wreszcie trafi na tÄ™ wÅ‚aÅ›ciwÄ…. StÄ…d sÅ‚owo „brute” w nazwie. Nie mamy tu bowiem do czynienia z żadnym zaawansowanym algorytmem, tylko wrÄ™cz siÅ‚owÄ… próbÄ… zÅ‚amania zabezpieczeÅ„ poprzez wprowadzanie kolejnych możliwych kombinacji kluczy, z których jedna może siÄ™ – niejako przypadkiem – stać rozwiÄ…zaniem i pasować.

OfiarÄ… ataku brute force najÅ‚atwiej stać siÄ™ wtedy, kiedy używamy zbyt prostych (powszechnie znanych np. qwerty) haseÅ‚, lub pojedynczych sÅ‚ów wprost ze sÅ‚ownika. Dla przykÅ‚adu, w jÄ™zyku polskim w powszechnym użyciu znajduje siÄ™ od 6 do 10 tys. wyrazów. Zautomatyzowany system brute force jest w stanie zÅ‚amać dostÄ™p do konta zabezpieczonego takim wÅ‚aÅ›nie „hasÅ‚em-wyrazem” ciÄ…gu zaledwie kilku godzin i to bez wiÄ™kszego wysiÅ‚ku, im krótsze hasÅ‚o tym zresztÄ… szybciej.

Gdy zaczynamy stosować hasÅ‚a bardziej skomplikowane, zÅ‚ożone z liter i cyfr, czy jak ostatnio zaleca siÄ™ z poÅ‚Ä…czonych wyrazów lub fraz, ale o „zaburzonej” logice, liczba możliwych kombinacji wzrasta do miliardów, co powoduje poważne utrudnienie dziaÅ‚ania hakerom i wykÅ‚adnicze wrÄ™cz wydÅ‚użenie procesu Å‚amania takiego hasÅ‚a.

Rodzaje ataków brute force

Nie ma jednej metody ataku brute force. W obiegu znajduje siÄ™ ich kilka i zależą one od możliwoÅ›ci technicznych hakerów. Niektóre z nich wymagajÄ… posiadania ekstremalnie wrÄ™cz zaawansowanego sprzÄ™tu komputerowego, inne jedynie pomysÅ‚owoÅ›ci i cierpliwoÅ›ci.

Podstawowy brute force

Najprostszy typ ataku brute force odbywa siÄ™ czÄ™sto w ogóle bez użycia zaawansowanego sprzÄ™tu komputerowego i programów do „crackingu”, czyli wspomagajÄ…cych Å‚amanie haseÅ‚. Haker sam wykonuje tu caÅ‚Ä… żmudnÄ… pracÄ™, kolejno i rÄ™cznie wpisujÄ…c podejrzewane hasÅ‚a lub ciÄ…gi znaków do formularza. Co ciekawe, taka metoda okazuje siÄ™ caÅ‚y czas bardzo skuteczna. Hakerzy bardzo czÄ™sto w takim przypadku próbÄ™ wpisania hasÅ‚a poprzedzajÄ… sporym researchem, w czasie którego, na przykÅ‚ad w mediach spoÅ‚ecznoÅ›ciowych, sprawdzajÄ… zainteresowania i powiÄ…zania swojej potencjalnej ofiary. Przejrzenie zainteresowaÅ„ czy listy kontaktów pozwala czÄ™sto już na wstÄ™pnym etapie zawÄ™zić pole tematyczne haseÅ‚ do jakiejÅ› okreÅ›lonej dziedziny, a to uÅ‚atwia znalezienie pasujÄ…cego klucza.

Pokazuje to przy okazji, jak ważne jest, by nie wykorzystywać haseÅ‚, które majÄ… tematycznie coÅ› wspólnego z tym, czym siÄ™ zajmujemy lub interesujemy. CzÄ™stym bÅ‚Ä™dem, zwÅ‚aszcza w firmach i korporacjach jest kodowanie folderów z materiaÅ‚ami dotyczÄ…cymi jakiegoÅ› wiÄ™kszego projektu hasÅ‚ami nawiÄ…zujÄ…cymi do treÅ›ci samego przedsiÄ™wziÄ™cia. Każdy doÅ›wiadczony haker wÅ‚aÅ›nie takie hasÅ‚a bÄ™dzie sprawdzaÅ‚ na samym poczÄ…tku.

W przypadku prostych ataków brute force hakerzy w pierwszej kolejnoÅ›ci sprawdzajÄ… też hasÅ‚a, które znajdujÄ… siÄ™ w powszechnym obiegu, mimo iż od lat zaleca siÄ™, by ich nie używać. Jest tu wczeÅ›niej wspomniany wyraz „QWERTY”, ale też klasyka zÅ‚ych haseÅ‚, czyli „hasÅ‚o”, „hasÅ‚o123” itp.

SÅ‚ownikowy brute force

Ten typ ataku przypomina częściowo klasyczny brute force, jednak dziaÅ‚a na trochÄ™ innej zasadzie. Tu zamiast prób z kombinacjami znaków lub wyrazami pasujÄ…cymi do wykonanego profilowania na temat danej osoby, haker (np. z pomocÄ… odpowiednio przygotowanego systemu komputerowego) wprowadza do formularza kolejno sÅ‚owa wyrazy lub zwiÄ…zki frazeologiczne z mowy codziennej.

Do przeprowadzenia takiego ataku potrzebna jest możliwie najszersza baza sÅ‚ów i wyrażeÅ„ z danego jÄ™zyka. Metoda ta czÄ™sto okazuje siÄ™ bardzo skuteczna, zwÅ‚aszcza w przypadku osób, które jako haseÅ‚ używajÄ… sÅ‚ów powszechnie znanych, przysÅ‚ów lub powiedzeÅ„, bez żadnych przeksztaÅ‚ceÅ„ ani dodatku liczb lub znaków specjalnych.

Brute force - niebezpieczne ataki

Ataki hybrydowe

Ataki hybrydowe sÄ… kombinacjÄ… sÅ‚ownikowego oraz prostego ataku brute force. Sprawdza siÄ™ tu zarówno kombinacje znaków, jak i caÅ‚e wyrazy ze sÅ‚owników, także w poÅ‚Ä…czeniu. Ten typ ataku wymaga bardzo dużej mocy obliczeniowej komputerów, które go wykonujÄ…. Z tego też powodu ogranicza siÄ™ zwykle do Å‚amania kont i haseÅ‚ użytkowników, których loginy już wczeÅ›niej zdobyto na przykÅ‚ad przy wycieku danych.

Credential stuffing

To metoda, której bać siÄ™ powinni szczególnie ci, którzy majÄ… te same hasÅ‚a w kilku serwisach internetowych. Polega to na tym, że hakerzy, którym uda siÄ™ zÅ‚amać hasÅ‚o do jednego konta danego użytkownika, wyszukujÄ… nastÄ™pnie w sieci wszystkie inne jego aktywnoÅ›ci i próbujÄ… przejąć nad nimi kontrolÄ™ z użyciem tego samego hasÅ‚a lub jego niewielkich modyfikacji.

Odwrócony brute force

W przypadku tej metody hakerzy dziaÅ‚ajÄ… inaczej niż w pozostaÅ‚ych przypadkach. Nie nastÄ™puje tu próba „siÅ‚owego” odgadniÄ™cia hasÅ‚a, ale dopasowania hasÅ‚a już posiadanego (z listy tych najpopularniejszych, ciÄ…gle stosowanych, np. przywoÅ‚anego już „hasÅ‚o1234”), do zdobytego loginu lub bazy loginów. W mediach czÄ™sto sÅ‚yszymy o tym, że z jakiejÅ› bazy (chociażby serwisu spoÅ‚ecznoÅ›ciowego lub witryny internetowej) wyciekÅ‚y dane użytkowników. Dane takie czÄ™sto później trafiajÄ… na czarny rynek i sÄ… one tam przechwytywane przez hakerów. DysponujÄ…c listÄ… takich loginów, sÄ… oni w stanie przygotować oprogramowanie, które z użyciem jednego lub wiÄ™kszej iloÅ›ci gotowych haseÅ‚, bÄ™dzie w stanie odszukać te konta, do których owe hasÅ‚a pasujÄ… i przejąć nad nimi kontrolÄ™.

Jak obronić się przed atakami brute force?

Obrona przed atakami brute force nie jest łatwa. Jeśli haker wejdzie w posiadanie sprzętu o bardzo dużej wydajności obliczeniowej (co na szczęście jest jeszcze rzadkie) będzie w stanie z czasem złamać każde hasło. Czas zresztą odgrywa tu kluczową rolę: ustanawiając odpowiednio silne hasło, sprawiamy, że cyberprzestępcy na jego złamanie będą musieli poświęcić jego znaczną ilość, co sprawi, że cała czynność stanie się dla nich nieopłacalna. O czym jeszcze należy pamiętać, by być jak najbardziej odpornym na cyberataki brute force?

  • należy używać mocnych haseÅ‚ tworzonych zgodnie z obowiÄ…zujÄ…cymi reguÅ‚ami,
  • na różnych kontach i serwisach internetowych warto mieć odmienne loginy,
  • jeÅ›li nie mamy pomysÅ‚u na mocne hasÅ‚a, korzystajmy z odpowiedniego oprogramowania, np. z menedżerów haseÅ‚,
  • wybierajmy te serwisy internetowe, które majÄ… przy logowaniu ogranicznik liczby dopuszczalnych prób podawania hasÅ‚a,
  • warto korzystać z oprogramowania wspomagajÄ…cego, typu programy antywirusowe i monitorujÄ…ce bezpieczeÅ„stwo, czy też generatory kopii zapasowych.

Tomasz Sławiński

 

To też Cię zainteresuje

KOMENTARZE (0) SKOMENTUJ ZOBACZ WSZYSTKIE

Najczęściej czytane